Эксперты Positive Technologies подготовили рекомендации по обнаружению и противодействию вирусу-шифровальщику WannaCry

Шифровальщик WannaCry. Рекомендации

В связи с начавшейся 12 мая 2017 года массовой эпидемией вируса-шифровальщика WannaCry (WannaCry, WCry, WanaCrypt, WanaCrypt0r, Wana DeCrypt0r и др.), компания Positive Technologies получает большое количество запросов на предоставление рекомендаций по обнаружению и противодействию этой угрозе.

В связи с этим было решено сформировать базовый набор рекомендаций по противодействию этому виду вредоносного ПО. Данный документ не содержит полного и детального описания вируса-шифровальщика, так как ожидается появление новых модификаций в течение этой недели с другими индикаторами компрометации.

Сегодня известно уже о как минимум 3 различных версиях WannaCry. Учитывая модульную структуру вируса, эксперты Positive Technologies ожидают появления в ближайшем будущем новых модификаций. Поэтому особенно важно максимально быстро устранить возможность распространения вируса в корпоративной сети.

Уязвимыми к атаке WannaCry являются компьютеры под управлением операционных систем Windows начиная с XP/2003 и до 10/2016 включительно, на которых не установлено обновление MS17-010.

Рекомендации по предотвращению заражения

Важно! С 12 по 14 мая экземпляры вируса WannaCry распространялись через уязвимости в Windows SMB Server (445 порт TCP), причем не только в рамках организации, но и на стадии проникновения извне.

Чтобы исключить возможность заражения, следует выполнить все 5 перечисленных ниже пунктов. Их можно выполнять параллельно, но если не позволяет время — рекомендуем выполнять пункты в приведенном порядке.

  1. Полностью заблокировать соединения извне на порт TCP 445 внешнего периметра. Рекомендуется использовать шлюзовой межсетевой экран (МЭ), стоящий на границе сети. Если внешних подсетей много (к примеру, распределенная по всей стране инфраструктура с множественными выходами в Интернет) и периметр сложно инвентаризировать — вы можете обратиться к представителям компании Positive Technologies за помощью в инвентаризации внешних служб, доступных из сети Интернет (контактный адрес электронной почты: abc@ptsecurity.com). Потребуется лишь список выделенных сетей от оператора и согласие на сканирование.
  2. Обновить базы всех средств антивирусной защиты для всех узлов сети. Убедиться, что включен компонент поведенческого анализа на средствах защиты серверов и рабочих станций.
  3. Идентифицировать все уязвимые узлы внутри сети. Для этого можно воспользоваться одним из методов:
    • a. Сканер уязвимостей. Для пользователей MaxPatrol 8 подробные рекомендации по обнаружению уязвимых узлов в сети и созданию отчета о таких узлах даны в Приложениях:
    • Кроме того, компания Positive Technologies выпустила специальное обновление (сборка 8.25.5.25482), предоставляющее пользователям MaxPatrol 8 возможность обнаруживать уязвимость CVE-2017-0145 в облегченном режиме Pentest. Детальная инструкция представлена в Приложении 3. Поиск уязвимости CVE-2017-0145 EternalBlue в режиме Pentest.

    • b. SCCM, WSUS или другая система управления обновлениями и инвентаризации. Необходимо создать отчет с проверкой, установлено ли обновление 4013389 (MS17-010) либо более новое. Полный список KB для проверки в зависимости от ОС доступен по ссылке. Последние обновления включают в себя все предыдущие, так что можно просто проверить, установлено ли самое последнее обновление.
    • c. Локальная проверка. Для проверки наличия обновления локально можно воспользоваться командой:
      > wmic qfe get HotfixId | findstr KB_for_OS.
      Например, для Windows 10 последнее на сегодня обновление безопасности — KB4019472 (оно включает в себя заплату MS17-010
  4. Немедленно установить обновление MS17-010 на все уязвимые узлы, включая Windows XP и Windows Server 2003. Обновления для разных ОС доступны по ссылке.
  5. После установки обновления повторить поиск уязвимых узлов во всей инфраструктуре (пункт 3).

Важно! Если уязвимых узлов слишком много, и быстро установить обновление не получается:

  • a. Отключить SMBv1 на всех узлах, где она не является критичной функцией. Отключить можно вручную либо с помощью SCCM / GPO. Подробности здесь
  • b. Для узлов, на которых SMBv1 отключить нельзя, рекомендуется реализовать выделенный закрытый сегмент. Подключения к данному сегменту по протоколу SMB разрешить только с узлов, уже имеющих обновление безопасности и неуязвимых к атаке.

Источник

17.05.2017

Хотите быть в курсе последних событий?